Qu’est-ce que l’authentification ?
Découvrez comment les identités des utilisateurs, applications et services sont vérifiées avant d’être autorisées à accéder à des systèmes et ressources numériques.
Définition
L’authentification est le processus utilisé par les entreprises pour vérifier que seuls les utilisateurs, services et applications appropriés et dotés des autorisations adéquates peuvent accéder aux ressources de l’organisation. Il s’agit d’un volet important de la cybersécurité, car la priorité des acteurs malveillants est d’accéder sans autorisation aux systèmes. Pour y parvenir, ceux-ci dérobent les identifiant et mot de passe d’utilisateurs qui disposent d’autorisations d’accès. Le processus d’authentification inclut trois étapes majeures :
- Identification : les utilisateurs s’identifient en général à l’aide d’un nom d’utilisateur.
- Authentification : habituellement, les utilisateurs prouvent qu’ils sont bien ceux qu’ils prétendent être en entrant un mot de passe (une information que seul l’utilisateur est censé connaître). Toutefois, pour renforcer la sécurité, de nombreuses organisations leur demandent également de confirmer leur identité à l’aide de quelque chose qui leur appartient (téléphone ou générateur de jetons) ou de quelque chose qu’ils sont (empreinte ou scan d’un visage).
- Autorisation : le système vérifie que les utilisateurs sont autorisés à accéder au système auquel ils cherchent à accéder.
Quel est l’intérêt de l’authentification ?
L’authentification est importante car elle permet aux organisations de protéger leurs systèmes, données, réseaux, sites web et applications contre les attaques. Elle aide par ailleurs les individus à préserver la confidentialité de leurs données personnelles, en leur permettant de mener leurs activités (par exemple, opérations bancaires ou investissements) en ligne avec un risque plus faible. Lorsque les processus d’authentification sont faibles, il est plus facile pour les attaquants de compromettre un compte en devinant des mots de passe individuels ou en incitant des personnes à communiquer leurs informations d’identification. Cela peut soulever les risques suivants :
- Violation ou exfiltration de données.
- Installation de programmes malveillants, tels que des rançongiciels.
- Non conformité avec les réglementations régionales ou sectorielles régissant la confidentialité des données.
Fonctionnement
Pour les individus, l’authentification implique de configurer un nom d’utilisateur, un mot de passe et d’autres méthodes d’authentification (scan d’un visage, empreinte, code confidentiel, etc.). Pour protéger les identités, aucune de ces méthodes d’authentification n’est enregistrée dans la base de données du service. Les mots de passe sont hachés (et non chiffrés) et les hachages sont enregistrés dans la base de données. Lorsqu’un utilisateur entre un mot de passe, celui-ci est également haché, avant que les hachages ne soient comparés. Si les deux hachages correspondent, l’accès est octroyé. Pour les empreintes et les scans de visage, les informations sont codées, chiffrées et enregistrées sur l’appareil.
Types de méthodes d’authentification
Dans le cadre de l’authentification moderne, le processus d’authentification est délégué à un système d’identité distinct fiable, contrairement à l’authentification traditionnelle où chaque système vérifie les identités lui-même. Le type des méthodes d’authentification utilisées a également changé. La plupart des applications requièrent un nom d’utilisateur et un mot de passe. Mais alors que les acteurs malveillants sont devenus plus habiles pour dérober les mots de passe, la communauté de la sécurité a développé plusieurs nouvelles méthodes pour protéger les identités.
Authentification basée sur les mots de passe
L’authentification basée sur les mots de passe est la forme d’authentification la plus courante. Bon nombre d’applications et services exigent des utilisateurs qu’ils créent des mots de passe combinant des chiffres, des lettres et des symboles pour réduire le risque qu’un acteur malveillant les devine. Toutefois, les mots de passe présentent aussi des défis pour la sécurité et la convivialité. Comme il est difficile pour les personnes de trouver et mémoriser un mot de passe unique pour chacun de leurs comptes en ligne, elles ont tendance à réutiliser leurs mots de passe existants. Les attaquants utilisent des techniques variées pour deviner ou dérober des mots de passe ou persuader les personnes de les communiquer contre leur gré. Voilà pourquoi les organisations abandonnent les mots de passe pour adopter d’autres formes d’authentification plus sécurisées.
Authentification basée sur les certificats
L’authentification basée sur les certificats est une méthode chiffrée qui permet aux appareils et aux personnes de s’identifier auprès d’autres appareils et systèmes. L’utilisation d’une carte à puce ou l’envoi par l’appareil d’un employé d’un certificat numérique à un réseau ou serveur sont deux exemples courants.
Authentification biométrique
Dans le cadre de l’authentification biométrique, les utilisateurs vérifient leur identité à l’aide de caractéristiques biologiques. Par exemple, de nombreuses personnes utilisent l’empreinte de leur pouce ou index pour se connecter sur leur téléphones, et certains ordinateurs scannent le visage ou la rétine d’une personne pour vérifier son identité. Les données biométriques sont également liées à un appareil spécifique, de telle sorte que les attaquant ne peuvent pas les utiliser sans accéder à l’appareil. Ce type d’authentification gagne en popularité car il est facile à utiliser pour les personnes (elles n’ont rien à mémoriser) et difficile à dérober pour les acteurs malveillants, ce qui en fait une méthode plus sûre que les mots de passe.
Authentification par jeton
Dans le cadre de l’authentification par jeton, un appareil et le système génèrent un nouveau code unique appelé mot de passe à usage unique basé sur le temps toutes les 30 secondes. Si le code correspond, le système vérifie que l’utilisateur dispose de l’appareil.
Mot de passe à usage unique
Les mots de passe à usage unique sont des codes générés pour un événement de connexion spécifique, qui expirent peu de temps après leur émission. Ils sont communiqués par SMS, courriel ou jeton matériel.
Notifications Push
Certains services et applications utilisent des notifications Push pour authentifier les utilisateurs. En pareil cas, les personnes reçoivent un message sur leur téléphone leur demandant d’approuver ou de rejeter la demande d’accès. Comme il peut arriver que les personnes approuvent accidentellement des notifications Push alors même qu’elles essaient de se connecter aux services à l’origine de la notification, cette méthode est parfois combinée avec un mot de passe à usage unique. Outre le mot de passe à usage unique, le système génère un code que l’utilisateur doit entrer. L’authentification présente dès lors une plus grande capacité à déjouer les tentatives d’hameçonnage.
Authentification vocale
Dans le cadre de l’authentification vocale, la personne essayant d’accéder au service reçoit un appel téléphonique, pendant lequel elle est invitée à entrer un code ou à s’identifier verbalement.
Authentification multifacteur
L’un des meilleurs moyens pour réduire la compromission des comptes consiste à exiger le recours à plusieurs méthodes d’authentification, lesquelles peuvent inclure une des méthodes précédemment répertoriées. Une meilleure pratique efficace consiste à exiger deux des éléments suivants :
- Quelque chose que l’utilisateur connaît, généralement un mot de passe.
- Quelque chose qu’il a, par exemple un appareil fiable difficile à dupliquer tel qu’un téléphone ou une clé matérielle.
- Quelque chose que l’utilisateur est, par exemple une empreinte digitale ou le scan d’un visage.
Ainsi, de nombreuses organisations demandent la saisie d’un mot de passe (quelque chose que l’utilisateur connaît) mais envoient aussi un mot de passe à usage unique via SMS à un appareil fiable (quelque chose que l’utilisateur a) avant d’autoriser l’accès.
Authentification à 2 facteurs
L’authentification à 2 facteurs est un type d’authentification multifacteur nécessitant deux formes d’authentification.
Bien que l’authentification et l’autorisation soient souvent utilisées de manière interchangeable, il s’agit de deux concepts liés mais distincts. L’authentification vérifie que l’utilisateur qui se connecte est bien celui qu’il prétend être, alors que l’autorisation vérifie qu’il dispose des autorisations appropriées pour accéder aux informations souhaitées. Par exemple, un membre du service Ressources humaines peut avoir accès à des systèmes sensibles (par exemple, paie ou dossiers des employés) que les autres ne peuvent pas consulter. L’authentification et l’autorisation sont essentielles pour améliorer la productivité et protéger les données sensibles, la propriété intellectuelle et la confidentialité.
Meilleures pratiques pour la sécurité de l’authentification
La compromission de comptes étant une façon extrêmement courante pour les attaquants d’accéder sans autorisation aux ressources d’une entreprise, il est important d’instituer une sécurité forte de l’authentification. Voici quelques mesures que vous pouvez prendre pour protéger votre organisation :
-
Implémenter l’authentification multifacteur
La mesure la plus importante que vous pouvez prendre pour réduire votre risque de compromission de comptes est d’activer l’authentification multifacteur et d’exiger au moins deux facteurs d’authentification. Il est bien plus difficile pour les attaquants de détourner plusieurs méthodes d’authentification, notamment si l’une d’elles utilise des données biométriques ou quelque chose que l’utilisateur a en sa possession tel qu’un appareil. Pour simplifier le processus autant que possible pour les employés, les clients et les partenaires, vous pouvez leur laisser le choix entre différents facteurs. Il est toutefois important de noter que toutes les méthodes d’authentification ne se valent pas. Certaines offrent un niveau de sécurité supérieur. Par exemple, si la réception d’un SMS est mieux que rien, une notification Push est bien plus sécurisée.
-
Recourir à l’authentification sans mot de passe
Lorsque vous configurez l’authentification multifacteur, vous pouvez même choisir de limiter l’utilisation des mots de passe afin d’encourager les personnes à utiliser plusieurs méthodes d’authentification, telles qu’un code PIN et un procédé biométrique. La réduction de l’utilisation des mots de passe et le recours à l’authentification sans mot de passe simplifieront le processus de connexion et limiteront votre risque de compromission de comptes.
-
Appliquer une protection par mot de passe
Outre la sensibilisation des employés, vous pouvez utiliser certains outils pour réduire l’utilisation des mots de passe faciles à deviner. Lessolutions de protection par mot de passe vous permettent d’interdire ceux couramment utilisés tels que Motdepasse1. Vous pouvez créer une liste personnalisée adaptée à votre entreprise ou région, incluant par exemple le nom des équipes sportives locales ou de sites locaux.
-
Activer l’authentification multifacteur basée sur le risque
Certains événements d’authentification sont des indicateurs d’une compromission, par exemple lorsqu’un employé tente d’accéder à votre réseau à partir d’un nouvel appareil ou d’un emplacement inhabituel. Sans être atypiques, d’autres événements de connexion peuvent présenter un risque plus élevé, par exemple lorsqu’un professionnel des ressources humaines doit accéder aux informations d’identification personnelle d’un employé. Pour minimiser le risque, configurez votre solution de gestion des identités et accès (IAM) pour exiger deux facteurs d’authentification au minimum lorsqu’elle détecte ces types d’événements.
-
Donner la priorité à la facilité d’utilisation
Une sécurité efficace nécessite l’adhésion des employés et autres parties prenantes. Les stratégies de sécurité peuvent parfois empêcher les personnes de s’engager dans des activités en ligne risquées, mais si les stratégies sont trop contraignantes, les personnes trouveront une solution de contournement. Les meilleures solutions tiennent compte du comportement humain réaliste. Déployez des fonctionnalités telles que la réinitialisation de mot de passe en libre service pour éliminer la nécessité pour les personnes de contacter le support technique lorsqu’elles oublient un mot de passe. Cela peut également les encourager à choisir un mot de passe fort en sachant qu’il sera aisé de le réinitialiser si elles l’oublient plus tard. Laisser les personnes choisir la méthode d’autorisation qu’elles préfèrent est une autre façon de faciliter pour elles le processus de connexion.
-
Déployer l’authentification unique
Une excellente fonctionnalité qui améliore la facilité d’utilisation et renforce la sécurité est l’ authentification unique (SSO). Comme personne n’aime se voir demander un mot de passe à chaque changement d’application, les utilisateurs peuvent être incités à recourir au même mot de passe sur plusieurs comptes pour gagner du temps. Avec l’authentification unique, les employés ont seulement besoin de se connecter pour accéder à la plupart ou l’ensemble des applications dont ils ont besoin pour le travail. Cela permet de faciliter le processus, et d’appliquer des stratégies de sécurité universelles ou conditionnelles, telles que l’authentification multifacteur, à tous les logiciels utilisés par les employés.
-
Utiliser le principe des privilèges minimum
Limitez le nombre de comptes privilégiés sur la base des rôles et donnez aux personnes la quantité minimale de privilèges nécessaire pour mener à bien leurs tâches. L’établissement du contrôle d’accès permet de s’assurer qu’un nombre plus restreint de personnes peut accéder à vos données et systèmes les plus critiques. Lorsqu’une personne a besoin d’effectuer une tâche sensible, utilisez la gestion des accès privilégiés, telle que l’activation juste à temps avec des durées définies, afin de réduire davantage votre niveau de risque. Cela aide aussi d’exiger que les activités administratives soient effectuées uniquement sur des appareils hautement sécurisés, qui sont distincts des ordinateurs que les personnes utilisent pour leurs tâches quotidiennes.
-
Supposer une violation de sécurité et effectuer des audits réguliers
Dans de nombreuses organisations, les rôles et la situation d’emploi changent régulièrement. Les employés peuvent quitter l’entreprise ou changer de service. Les partenaires changent d’un projet à l’autre. Il peut s’agir d’un problème lorsque les règles d’accès n’évoluent pas au même rythme. Il est important de s’assurer que les personnes ne conservent pas l’accès aux systèmes et fichiers dont elles n’ont plus besoin pour leur travail. Pour réduire le risque qu’un attaquant mettent la main sur des informations sensibles, utilisez une solution de gouvernance des identités pour vous aider à auditer vos comptes et rôles de manière uniformisée. Ces outils vous aident également à vous assurer que les personnes ont seulement accès aux éléments utiles et que les comptes des personnes qui ont quitté l’organisation ne sont plus actifs.
-
Protéger les identités contre les menaces
Les solutions degestion des identités et accès offrent des outils variés pour vous aider à réduire le risque de compromission de comptes. Toutefois, il est toujours souhaitable d’anticiper les violations. Il peut arriver que même les employés bien formés soient victimes de tentatives d’hameçonnages. Pour repérer les occurrences de compromission de comptes de façon précoce, investissez dans des solutions de protection contre les menaces ciblant les identités et implémentez des stratégies qui vous aident à détecter et répondre aux activités suspectes. De nombreuses solutions modernes, telles que Sécurité Microsoft Copilot, utilisent l’IA pour détecter les menaces mais aussi y répondre automatiquement.
Solutions d’authentification nuage
L’authentification est critique pour mettre en place un programme de cybersécurité solide et pour favoriser la productivité des travailleurs. Une solution nuage complète de gestion des identités et accès, telles que Microsoft Entra, fournit des outils que les personnes peuvent utiliser pour accéder aux éléments dont elles ont besoin pour mener à bien leurs tâches, tout en appliquant des contrôles puissants qui réduisent le risque que des attaquants compromettent un compte et accèdent à des données sensibles.
En savoir plus sur la Sécurité Microsoft
Microsoft Entra ID
Protégez votre organisation avec la gestion des identités et des accès.
Gouvernance des ID Microsoft Entra
Veillez automatiquement à ce que les personnes appropriées aient accès aux applications adéquates au bon moment.
Gestion des autorisations Microsoft Entra
Une solution unifiée pour gérer les autorisations des identités au sein de l’infrastructure multicloud.
Vérification d’identité Microsoft Entra
Décentralisez vos identités à l’aide d’un service de gestion des justificatifs vérifiables basé sur des normes ouvertes.
ID de charge de travail Microsoft Entra
Gérez et sécurisez les identités octroyées aux applications et services.
Forum aux questions
-
Il existe différents types d’authentification. Voici quelques exemples :
- De nombreuses personnes se connectent sur leurs téléphones à l’aide de la reconnaissance faciale ou d’une empreinte.
- Les banques et autres services demandent souvent aux personnes de se connecter à l’aide d’un mot de passe et d’un code envoyé automatiquement par SMS.
- Certains comptes ne requièrent qu’un nom d’utilisateur et un mot de passe, même si de nombreuses organisations adoptent l’authentification multifacteur pour renforcer la sécurité.
- Les employés se connectent souvent sur leur ordinateur et accèdent à différentes applications simultanément (authentification unique).
- Certains comptes permettent aux utilisateurs de se connecter à l’aide d’un compte Facebook ou Google. En pareil cas, Facebook, Google ou Microsoft est tenu d’authentifier l’utilisateur et de transmettre l’autorisation au service auquel l’utilisateur souhaite accéder.
-
L’authentification nuage est un service qui vérifie que seules les personnes et applications appropriées dotées des autorisations nécessaires peuvent accéder aux réseaux et ressources sur le nuage. De nombreuses applications nuage intègrent une authentification basée sur le nuage, mais il existe aussi des solutions plus larges, telles que Microsoft Entra ID, conçues pour gérer l’authentification sur plusieurs applications et services nuage. Ces solutions utilisent généralement le protocole SAML pour activer un service d’authentification compatible avec plusieurs comptes.
-
Bien que l’authentification et l’autorisation soient souvent utilisées de manière interchangeable, il s’agit de deux concepts liés mais distincts. L’authentification vérifie que l’utilisateur qui se connecte est bien celui qu’il prétend être, alors que l’autorisation vérifie qu’il dispose des autorisations appropriées pour accéder aux informations souhaitées. Lorsqu’elles sont combinées, l’authentification et l’autorisation permettent de réduire le risque qu’un attaquant puisse accéder à des données sensibles.
-
L’authentification permet de vérifier que les personnes et entités sont bien celles qu’elles prétendent être avant de les autoriser à accéder à des ressources et réseaux numériques. Bien que l’objectif principal soit la sécurité, les solutions d’authentification moderne sont également conçues pour optimiser la facilité d’utilisation. Par exemple, de nombreuses organisations implémentent des solutions d’authentification unique pour permettre aux employés d’accéder aisément à ce dont ils ont besoin pour accomplir leurs tâches. Les services client permettent souvent aux personnes de se connecter à l’aide de leur compte Facebook, Google ou Microsoft pour accélérer le processus d’authentification.
Suivez la Sécurité Microsoft